欧盟数据保护监督机构就欧盟-日本跨境数据流动发表意见

引言

“充分性认定（Adequacy Decision）”是指欧盟委员会根据《一般数据保护条例》（GDPR）第45条的规定，以第三国立法与法律实施情况、数据监管机构水平、加入个人数据保护的国际条约或多边协定情况等为评估标准，判定数据所转移至第三国对欧盟居民个人数据保护是否能够达到充分保护的水平，如能达到充分保护水平，则获准第三国与欧盟进行数据跨境传输。充分性认定被喻为“欧洲个人数据跨境的签证”，获得充分性认定的国家与地区，视为与欧盟及其成员国具备同等的数据保护能力。目前，世界范围内已有包括安道尔公国、阿根廷、加拿大（商业组织）、泽西岛、以色列、新西兰、瑞士与乌拉圭等在内的国家、地区以及相关组织通过充分性认定。

2018年7月17日，欧盟与日本之间签署经济伙伴关系协议。该协议的目标在于消减欧盟与日本间的贸易关税，破除技术与监管壁垒。2019年1月，日本正式通过欧盟的充分性认定，自此，个人数据从欧盟或者欧洲经济区的控制者或处理者传输至日本时，无需再获得额外的授权。

然而，近期欧盟与日本间关于充分性认定产生一定争议。2022年8月9日，欧盟与日本就经济伙伴关系协议中跨境数据流动问题展开进一步谈判，欧洲数据保护监督机构EDPS对该事件发表了意见。

签署贸易协定不能挑战个人数据保护

EDPS认为，保护个人数据是欧盟的一项基本权利，因此，不能因为欧盟签署贸易协定而让渡权利。同时，欧盟也不应该作出违背其数据保护法规的国际贸易承诺。欧盟与第三国贸易中所涉及到的数据保护问题，可以通过对话与补充协议完成，但必须遵循“异规制”。欧盟和第三国之间的个人数据流动应通过欧盟数据保护立法活动所提供的机制来实现。

另外，谈判协议不应阻止欧盟及其成员国在公共利益管理经济活动实现合法的隐私与数据保护领域的公共政策目标。同时，EDPS重申，贸易谈判不应破坏欧盟的个人数据保护规则，并且应当符合欧盟法律框架。

EDPS积极承认2019年日本已通过充分性认定

EDPS积极承认日本已于2019年1月23日获得欧盟委员会的充分性调查结果。具体而言，个人数据从欧洲经济区的控制者或处理者传输到充分性认定所覆盖的日本组织时，无需获得进一步的授权。

EDPS建议对“已通过充分性认定，但仍需进一步谈判”进行解释

EDPS注意到，待谈判协议中涉及欧盟和日本之间的跨境数据流动规则还存在一定问题。鉴于先前的充分性认定，应进一步详细说明涉及跨境数据流动的额外规则，以便双方清楚修订协议的理由。换言之，EDPS建议进一步解释为什么尽管已经做出了充分性认定，但认为有必要就跨境数据流问题进行进一步谈判。

EDPS认为“横向条款”是个人数据保护的最佳路径

EDPS于2018年7月发布的跨境数据流动的横向条款（Horizontal Provisions on Cross-border Data Flows），该条款代表了公共利益与私人利益之间的妥协与平衡。EDPS允许欧盟与第三国在数字贸易中采取一定保护主义。但与此同时，贸易协定不能挑战欧盟的基本权利宪章与关于保护个人数据的立法。

在此事件中，EDPS继续支持“横向条款”，并认为横向条款是个人数据保护与隐私权利实现的最佳方案。

EDPS认为欧盟与英国协议中对横向条款的修订只是个例，不具有普适性

在关于欧盟和英国贸易协定以及欧盟和英国交换机密信息协议的第 3/2021 号意见中，对于横向条款做出一定修改，EDPS 认为此修改作为一个例外而存在，不会成为未来与其他第三国的贸易协议的基础。

在正当理由下，欧盟可以要求控制者或处理者将个人数据存储在欧盟或者欧洲经济区

EDPS 将谈判协议与横向条款理解为“在正当合理的情况下，允许采取一定措施，要求控制者或处理者在欧盟或者欧洲经济区内存储个人数据”。EDPS指出，其最近与欧洲数据保护委员会EDPB联合建议立法者，要求其采纳委员会的提议，即欧洲健康条例提案范围内所涉及到的处理个人电子健康数据的控制者和处理者，应当将数据空间（Data Sapce）设置在欧盟或者欧洲经济区之内，并且在该数据空间范围内存储数据。为了避免产生疑问，EDPS 建议在谈判协议中阐明，谈判协议不应当阻止欧盟或者其成员国在有正当理由的情况下采取措施，要求控制者或者处理者将个人数据存储在欧盟与欧洲经济区之内。

小结

最终，EDPS就欧盟与日本经济伙伴关系协议中跨境数据流动问题的谈判给出两点明确的建议：其一，对于“为什么日本已经通过充分性认定，仍需要对跨境数据流动进一步谈判”的原因进行详细说明；其二，在双方的谈判中，不应当阻止欧盟及其成员国在有正当理由的情况下，强制控制者和处理者在欧盟或者欧洲经济区内存储个人数据。

由此可见，随着欧盟与第三国跨境数据流通的频繁，充分性认定在实施过程中遇到一定阻碍，但横向条款成为个人数据保护领域下平衡各方利益的缓和剂。同时，EDPS再次强调数据空间的重要性，表达出在数据自由流动主义下一定的收紧态度。

（完）

往期文章：

1、数据跨境流动治理

全文首发|美国《保护美国人免受外国监视法案》（中译本）

《个人信息出境标准合同规定（征求意见稿）》适用要点解读

英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒（第三章）

欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（下）

欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（上）

数据跨境流动的规则监管与多元治理

英美签署全球首个数据跨境取证双边协议（附全文翻译）

2.全球数据治理观察

前沿分析|印度撤回《个人数据保护法（草案）》

英国数据保护改革|《数据保护和数字信息法案》要点

印度国家数据治理政策框架（草案）全文翻译（附草案原文）

马斯克收购Twitter交易中的数据争议

国内外数据交易模式对比分析

我们应当如何理解数据治理中的管辖权冲突？

数据交易治理：中国、欧盟和印度的发展（附报告全文）

数据访问治理：中国、欧盟和印度的发展（附报告全文）

作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）

3.欧盟数据治理模式

欧洲议会发布数据治理研究报告

首个GDPR认证机制GDPR-CARPA详解

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）

欧洲数据治理方式的转变：《数据治理法》

Data Act：欧盟数据访问和使用的新框架

国际数据空间在欧洲数据战略中的作用

对数据的监管如何培育数字经济创新和竞争  ——GDPR提供的共同监管工具

EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）

EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文

EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文

全文首发| 欧盟《数据法》草案中译本

欧盟的公共数据治理方案（下）

欧盟的公共数据治理方案（上）

欧盟的人工智能数据治理方案

Gaia-X:下一代数据治理基础设施

4、国际数据空间

全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见（中译本）

全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件（中译本）

欧洲共同数据空间：进展与挑战

国际数据空间在欧洲数据战略中的作用

合作发布|国际数据空间IDS China Research Lab正式启动

合作发布|IDS — 数据自主权的标准

5、数据权属与数据治理之争

数据治理：数字经济竞争和数据要素流通的新路径

如何设计数据交易市场？（下）

如何设计数据交易市场？（上）

如何实现大数据价值？（下）

如何实现大数据价值？（上）

政策制定者应密切关注数据治理（下）

政策制定者应密切关注数据治理（上）

当讨论数据所有权时，我们到底在讨论什么？

没有人拥有数据？（下）

没有人拥有数据（上）

数据所有权：问题盘点与总结（下）

数据所有权：问题盘点与总结（上）

应该在欧盟引入数据生产者权利吗？（下）

应该在欧盟引入数据生产者权利吗？（上）

6、产业数据治理

如何解锁制造业数据的价值？（下）

如何解锁制造业数据的价值？（上）

车联网中的隐私与信任（下）

车联网中的隐私与信任（上）

物联网数据共享和控制的四个法律挑战